Visión general de la integración de LDAP en PowerProtect DP Series Appliance e Integration Data Protection Appliance (IDPA)
- IDPA soporta la integración de LDAP en todos los productos puntuales a través de ACM o Appliance Configuration Manager.
- Después de la integración correcta de LDAP, el usuario debería poder iniciar sesión en todos los productos puntuales de IDPA con el usuario de LDAP y sus credenciales de dominio.
- En la versión 2.6.1 y versiones anteriores, LDAP se configura en ACM, pero solo en los servidores de Search y DPC.
- En el caso de los componentes de DPA, Data Domain (DD) y Avamar, LDAP se debe configurar manualmente.
- En las versión 2.7.0 y versiones posteriores, LDAP se configura en ACM en todos los servidores, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) y Search.
Tipo de configuración de LDAP: externo frente a interno
- IDPA configura un servidor LDAP interno en ACM en el momento de la implementación y está integrado de manera predeterminada.
- Los usuarios pueden optar por configurar un LDAP externo en función del tipo de servidor LDAP después de la implementación.
- IDPA soporta los servicios de directorio Active Directory y OpenLDAP para la integración.
De manera predeterminada, PowerProtect DP Series Appliance está preconfigurado para usar la configuración de LDAP interno. Sin embargo, la opción Configure external LDAP le permite cambiar esta configuración predeterminada a una configuración de LDAP externo. La opción
Configure external LDAP está disponible en el panel General Settings del panel de ACM, en el menú del icono de engranaje.
Pasos de configuración
Las instrucciones para configurar un LDAP externo se encuentran en las guías de producto de PowerProtect DP Series Appliance e IDPA.
- Vaya a la página PowerProtect DP Series Appliance and IDPA Manuals del sitio de soporte de Dell.
- Inicie sesión en el portal.
- Seleccione Manuals and Documents para buscar las guías de producto de PowerProtect DP Series Appliance e IDPA según la versión.
NOTA:
-
En el cuadro de diálogo Configure external LDAP, no se puede ver la configuración de LDAP existente.
-
La configuración de LDAP en IDPA soporta configuraciones no seguras y seguras (LDAPS).
Solución de problemas de validación de la configuración de LDAP
- Nombre de host del servidor: los usuarios deben ingresar el FQDN; las direcciones IP no funcionan.
- Nombre de usuario de consulta: los usuarios deben ingresar el nombre de usuario en el formato de nombre principal de usuario (Abc@domain.com).
- Configuración del grupo de administradores: el alcance se debe configurar en Global y el tipo debe ser Security.
- El nombre de usuario de consulta debe ser miembro del grupo de administradores de LDAP.
- La práctica recomendada es utilizar minúsculas para todos los valores.
- En el caso de las configuraciones de LDAP seguro, los usuarios deben ingresar el certificado de CA raíz en el formato .cer.
- No se permiten grupos anidados. Los usuarios deben ser miembros directos del grupo de administradores de LDAP.
NOTA:
• Para que la integración de LDAP funcione correctamente en el almacenamiento con protección (Data Domain), el usuario de consulta de LDAP debe tener permisos de creación/eliminación de “control total” para el objeto de equipo.
Solución de problemas de conectividad
- Use el comando ping para garantizar la conectividad.
ping -c 4 acm-4400-xxxx:~ # ping -c 4 dc.amer.lan
PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
- La falta del dominio de búsqueda de DNS en /etc/resolv.conf puede causar errores de ping en el nombre de host del servidor LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf
search abc.com
nameserver 10.xx.xx.xx
nameserver 10.yy.yy.yy
Solución de problemas de puertos
Solución de problemas mediante LDAPSEARCH
ldapsearch es una herramienta de línea de comandos que abre una conexión a un servidor LDAP, se vincula a él y realiza una búsqueda mediante un filtro.
A continuación, los resultados se muestran en el formato de intercambio de datos de LDAP (LDIF).
La herramienta ldapsearch se puede utilizar en los componentes de IDPA, como ACM, para probar la conexión con el servidor LDAP y validar la configuración.
Sintaxis
Solución de problemas de certificados
El siguiente comando le permite ver el certificado del servidor LDAP:
openssl s_client -connect :
Validación del nombre de usuario de consulta y el grupo de búsqueda en AD/DC PowerShell para el tipo de LDAP externo de Active Directory
Se puede consultar Powershell en el servidor de Active Directory para obtener los objetos de usuario y grupo en el formato DN.
- El cmdlet Get-ADUser obtiene un objeto de usuario específico o realiza una búsqueda para obtener varios objetos de usuario.
- El cmdlet Get-ADGroup obtiene un grupo o realiza una búsqueda para recuperar varios grupos de Active Directory.
Pasos para actualizar la contraseña de usuario de consulta del LDAP externo
Si la contraseña de usuario de consulta del LDAP cambia en AD/OpenLDAP externo, se puede actualizar en ACM en la misma ventana emergente Configure external LDAP.
Este es un paso obligatorio para evitar el mensaje de error “LDAP password out of sync”.
Registros de solución de problemas
Cuando solucionen problemas de LDAP, los usuarios deben analizar los siguientes registros en ACM para detectar cualquier error de configuración, integración o validación:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Debemos analizar los registros de los componentes en los que falló la configuración de LDAP y el “server.log” en ACM.
Funcionalidad |
Ubicación del registro |
Productos de componente/ACM: validación, configuración, integración y monitoreo de LDAP |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
Data Protection Central (DPC): configuración y autenticación de LDAP |
/var/log/dpc/elg/elg.log |
Search: configuración y autenticación de LDAP |
/usr/local/search/log/cis/cis.log |
Software de protección (Avamar): configuración y autenticación de LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Almacenamiento con protección (Data Domain): configuración y autenticación de LDAP |
/ddr/var/log/debug/messages.engineering |
Generación de informes y análisis (DPA):configuración y autenticación de LDAP |
/opt/emc/dpa/services/logs/server.log |